Se una società desidera certificare contro alcuni standard della serie ISO 27000 (diciamo ISO 27001 e ISO 27005), che cosa potrebbe essere certificata? Voglio dire, sono i processi IT in generale nell'organizzazione nel suo insieme? O è più probabile che solo uno / più sistemi utilizzati in quella azienda siano / siano certificati? O dipende da uno standard particolare (diciamo che sono interessato a quelli sopra)?
Se una società ha scelto uno standard particolare, può essere scomposto in qualche modo in modo che solo una parte dello standard sia certificata?